Dr. Nazif Burca

2017 yılı büyük siber saldırıların gerçekleştirildiği veya daha önce gerçekleştirilen saldırıların açıklandığı bir yıl oldu.

Bu saldırıların en önde gelenleri şunlardı:

• Amerika’nın en büyük kredi bürosu Equfax’ın kayıtlarına sızılarak 145.5 milyon Amerikalı’nın kişisel bilgileri çalındı (Temmuz, 2017).
• Yahoo’nun ana şirketi olan Verizon, Yahoo’nun 3 milyar kullanıcısının hesabının saldırıya uğradığını açıkladı (Ekim, 2017).
• Shadow Brokers adlı anonim grup, Amerikan Ulusal Güvenlik Merkezi’nin “hacking” araçlarını  sızdırdı (Nisan 2017).
• WannaCry fidye siber saldırısı gerçekleştirildi, 150 ülkede 230 bin civarında bilgisayar şifrelenerek kullanıcıların erişimleri engellendi, kullanıcılardan 300 dolar değerinde fidye istenildi (Mayıs 2017).
• 64 ülkede, Petya (NotPetya) fidye siber saldırısı gerçekleştirildi (Haziran 2017).
• Daha çok haber ve medya sitelerini hedef alan, BadRabbit fidye siber saldırısı gerçekleştirildi (Ekim 2017).
• Amazon’un bulut hizmetinin güvenlik ayarındaki bir açık nedeniyle, 200 milyon Amerikan seçmeninin kimlik bilgileri açık hale getirildi (Haziran 2017).
• 57 milyon Uber müşterisinin verilerinin 2016 yılında çalındığı açıklandı (Kasım 2017).

Güvenlik sektörünün ileri gelen firma ve organizasyonları tarafından yapılan tahminlere göre 2018 yılında bu saldırların artma ihtimali yüksek.

Öne çıkan bazı öngörüler şöyle:

• Fidye saldırıları, saldırganların yine en çok tercih edeceği yöntem olacak.
• ML (Machine learning, makinaların öğrenmesi), IoT (Internet of things, nesnelerin interneti), AI (Artificial Intelligence, yapay zeka) saldırılarında artış olacak.
• Tedarik zinciri atakları, bulut yapılarına olan ataklar, mobil araçlara yönelik ataklar, kripto paralara ataklar, devlet destekli (state sponsored) ataklar artacak.
• Avrupa’da Mayıs 2018’de yürürlüğe girecek, Genel Veri Koruma Düzenlemesi’nin  (General Data Protection Regulation,  GDPR) gereklerini yerine getiremeyen firmalar, yüksek cezalarla (global cironun % 4’üne veya 20 milyon Euroya kadar) karşı karşıya kalacak.
• Siber risklere karşı kurumların sigorta masrafları artacak ve bu sektör daha da büyüyecek.
• Spam mailler vb kullanılmak suretiyle, çeşitli ülkelerde 2018 yılında yapılacak seçimleri etkilemeye yönelik siber propogandalar, sahte haberler vb artabilir.

Bu saldırılar, organizasyonları mali kayıplar, itibar kayıpları, cezalar ve müşteri kayıpları, hizmet kesintileri ve suistimal gibi risklere maruz bırakıyor. Benzer şekilde bireyler de hassas bilgilerinin çalınması, suistimal ve mali kayıplar gibi risklerle karşı karşıya kalıyor.

Bu risklere karşı, sistem, süreç ve insan kaynaklarıyla ilgili tedbirlerimizi güçlendirmemiz, diğer bir deyişle, iç kontrollerimizin etkinliğini artırmamız çok önemli:

Bu saldırılara karşı sadece teknoloji ekiplerinin değil, bir kurumdaki, en alt kademedeki personelden en yukarıdaki yönetim kurulana kadar, her seviyedeki çalışanların çalışmaları ve desteği kritik önemde.

• Öncelikle, herkesin bu saldırılara karşı tetikte olması ve farkındalığının yüksek olması önemli. Bunun için hepimizin siber okur-yazarlığımızı artırmamız gerekiyor. Kurumlardaki eğitim birimleri, en son gelişmelere göre, her seviyedeki çalışanın, güvenlikle ilgili eğitimlerini tam, zamanında ve kaliteli bir şekilde almasını sağlamalı. Bilindiği üzere, siber saldırılar çok büyük oranda,  güvenliğin en zayıf halkası olan, insanlar üzerinden başlatılıyor.
• Yönetim kurulları da siber okur-yazarlıklarını artırarak, siber güvenlikle ilgili tedbirler hakkında üst yönetimi sorgulayacak, onları yakından takip edebilecek yeteneğe kavuşmaları ve bu konudaki kritik performans göstergelerini (yapılan saldırıların sayısı, etkilenen sistemlerin oranı, tamamlanan eğitimler vb) sıkı bir şekilde gözetlemelidirler. Ayrıca gerekli sistemsel ve insan kaynağı eksikliklerinin karşılanması için, teknoloji ekiplerine ve diğer birimlere yeterli bütçenin sağlandığından emin olmalıdırlar.
• Bu saldırıların artması, güvenlik personeli ihtiyacını artırdığı için, kurumların tecrübeli güvenlik çalışanlarını elde tutabilmeleri ve başka kurumlara gitmelerini önleyebilmeleri önemli. Güvenlik personeli açıkları varsa hızla tamamlamalıdırlar.
• Bünyelerinde teknoloji birimleri bulunmayan küçük ve orta ölçekli firmaların, güvenlik yetkinliklerini gözden geçirmeleri önemli. Son yıllarda büyük firmalardan ziyade, küçük ve orta ölçekli firmalara gerçekleştirilen saldırılarda ciddi artışlar görülmektedir.
• Ülkemizde, Kişisel Verilerin Korunması Kanunu yürürlüğe girdi. Cezalarla muhatab olunmaması açısından, bu kanuna uyumla ilgili eksikliklerin zamanında tamamlanması, çalışanlar ve müşterilerin hassas verilerinin korunması ile ilgili tedbirlerin alınması önemli.
• Kurumlarda yer alan iç denetim birimlerinin, bulundukları kurumların iç kontrollerinin etkinliğini düzenli ve kaliteli bir şekilde takip ederek, yönetim kurulları ve üst yönetime gerekli güvence ve danışmanlık hizmetlerini zamanında sağlaması önemli. Denetim planlarını esnek bir şekilde yapmaları ve bu risklerle ilgili denetim alanlarının, planda yer aldığından emin olunması önemli.
• Bireysel olarak da kendi kontrollerimizin etkinliği artırmamız önemli. Güvenlik konusundaki temel bilgilerimizi tamamlamamız, şifrelerimize dikkat etmemiz, güvenlik güncellemelerimizi zamanında yapmamız, düzenli olarak yedeklerimizi almamız, cihazlarımızda antivirüs vb güvenlik servislerinin kurulu ve güncel olduğundan emin olmamız ve özellikle merak uyandıran vb oltalama yöntemlerine karşı tetikte olmamız çok önemli.

2018’in ülkemiz, tüm kurumlarımız ve vatandaşlarımız için hayırlı olmasını ve herhangi bir saldırıdan etkilenmeden en güzel şekilde geçmesini dilerim.